MPack(v0.90) Malicious Tool 보안 권고안

취약점 분석/2009년 이전 2008. 9. 15. 19:47 Posted by TEAMCR@K
작성자 : 김태훈 책임 컨설턴트

A3AID07-06

MPack(v0.90) Malicious Tool 보안 권고안

 

권고문 작성일 : 2007. 10. 12

취약점 발표일 : 2007. 5. 27

위험등급:

현재 상태(패치 여부) : 미패치

벤더: Dream Coders Team


대상 시스템 : MPack(v0.90) 패키지는 다음과 같은 취약점에 대한 포함된 공격 코드를 보유하고 있다.

-         MS06-014 : MDAC Code Execution

-        MS06-006 : Firefox 1.5.x ?Opera 7.x – Window Media Player Code Execution

-        MS06-044 : Microsoft Management Console Code Execution

-         MS06-071 : XML overflow XP/2k3

-        MS06-057 : Window Explorer Code Execution - WebViewFolderIcon overflow

-         WinZip ActiveX overflow

-         QuickTime overflow

-         MS07-017 : ANI overflow


취약점 개요:

MPack은 ‘Dream Coders Team’으로 불리는 러시아 언더그라운드 해커가 개발한 것으로, 침해 당한 또는 악성 사이트를 방문한 Client를 공격하는 상용 해킹 프로그램이다. MPack은 Microsoft 프로그램 뿐만 아니라 FireFox, Apple QuickTime 등 Client에서 주로 사용하는 어플리케이션에 대한 공격 코드를 보유하고 있다. 최근 10,000여개 유럽 도메인(특히, 이탈리아) 웹 사이트를 해킹한 후, Client 웹 브라우저를 MPack 악성 사이트로 리다이렉트하는 inFrame 태그를 홈페이지에 추가하여 80,000 여 개 Client를 해킹한 것으로 보고 되었다.
MPack는 AV(AntiVirus) 방어 기능을 우회하기 위하여 공격 코드를 ROT-5 암호화 알고리즘을 적용하였으며, 실제 대부분의 AV 솔루션이 ROT-5로 암호화된 공격 코드에 대해서 방어하지 못하는 것이 확인되었다.
하지만, MPack v0.90 패키지에 포함된 공격 코드는 0day 공격이 아닌 패치가 제공된 알려진 취약점에 대한 공격 코드로, 해당 어플리케이션 취약점에 대한 패치를 하면 MPack 공격으로부터 Client를 보호할 수 있다.
본 보안 권고는 MPack(v0.90) 프로그램에 대한 기능 및 위험성을 분석하였다.


취약점 세부 분석 :

(현재 에이쓰리시큐리티컨설팅에게서 서비스를 받으시는 고객에만 한정적으로 자료 제공)


대응 방안:

- MPack v0.90 패키지에서 확인된 취약한 어플리케이션에 대한 패치 적용을 해야 한다.

 

Copyright(c) 1998-2007 A3 Security Consulting.,LTD


Disclaimer
※ 현재 ㈜에이쓰리시큐리티컨설팅에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티컨설팅에서는 일체의 책임을 지지 아니합니다.

ASP+MSSQL Cookie SQL Injection Tool 취약점 보안 권고안

취약점 분석/2009년 이전 2008. 9. 15. 19:45 Posted by TEAMCR@K

작성자 : 이택현 컨설턴트

A3AID07-04

ASP+MSSQL Cookie SQL Injection Tool 취약점 보안 권고안


 권고문 작성일 : 2007. 10. 05


 취약점 발표일 : 2007. 10. 04


 위험등급: 중


 현재 상태(패치 여부) : 미패치


 벤더: Microsoft


 대상 시스템 : 취약점이 존재하는 응용프로그램에 목록을 정리하는 단계입니다.
 - Microsoft SQL Server 2000 + ASP (Active Server Page)


 취약점 개요:

 ASP+MSSQL Cookie SQL Injection Tool 은 PHP 기반의 공격도구로서 취약한  MSSQL+ASP  기반의 웹 사이트에 다양한 SQL Injection 공격을 수행할 수 있다.
 다음은 ASP+MSSQL Cookie SQL Injection Tool 에서 수행할 수 있는 기능 요약이다.

= 숫자형, 문자형에 대한 SQL Injection 공격 기능
= URL 및 쿠키에 SQL Injection 공격 기능
= 테이블명, 컬럼명, 데이터 추출 기능
= MSSQL 서버 정보 조회
= 웹 쉘 삽입 및 로그 백업 수행
= 시스템 디렉터리 리스트 조회
= 시스템 레지스트리 조회
= MSSQL의 xp_cmdshell 프로시저를 통해 시스템 명령 수행
= MSSQL대한 SQL 쿼리 조회

 본 보안 권고는 ASP+MSSQL Cookie SQL Injection Tool 에 대한 기능 및 위험성을 분석하였 다.


 취약점 세부 분석 :

(현재 에이쓰리시큐리티컨설팅에게서 서비스를 받으시는 고객에만 한정적으로 자료 제공)


 대응 방안:

- 파일 업로드 취약점을 보안하여 공격의 경유지로 이용되지 않도록 조치해야 한다.
- MSSQL+ASP 기반의 웹 사이트에 존재하는 SQL Injection 취약점을 제거해야 한다.


Copyright(c) 1998-2007 A3 Security Consulting.,LTD

Disclaimer
※ 현재 ㈜에이쓰리시큐리티컨설팅에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티컨설팅에서는 일체의 책임을 지지 아니합니다.

Microsoft Windows ANI File Format Handling 취약점

취약점 분석/2009년 이전 2008. 9. 15. 19:45 Posted by TEAMCR@K
작성자 : 구대훈 컨설턴트
▷ 편집자 : 니키 (ngnicky@a3sc.co.kr)

[A3AID07-03]

Microsoft Windows ANI File Format Handling 취약점

 

권고문 작성일 : 2007. 4. 3

최초 발표일 : 2007. 3. 29

위험등급:

현재 상태(패치 여부) : 패치

벤더: Microsoft


대상 시스템 : 해당 취약점에 영향을 받는 시스템 목록은 아래와 같으며, 영문 버전 및 한글 버전에서 원격 명령어 실행이 확인되었으며, 이 취약점을 악용한 웜 바이러스가 확인되었다.

- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003
- Microsoft Windows Vista


취약점 개요:

Microsoft사의 ANI 파일은 RIFF(Resource Interchange File Format) 형식을 기반으로 커서 및 다수의 아이콘을 저장하기 위해 만들어진 파일 형식이다. RIFF 형식을 이용하는 파일로는 AVI, WAV등 다양한 종류의 멀티미디어 자료들이 있다.
ANI파일의 RIFF 포맷의 잘못된 처리로 인해 스택 오버플로우가 발생하여 로컬 사용자의 권한으로 임의의 코드를 실행시킬 수 있으며, 개인정보 유출을 노리는 악성프로그램을 설치할 수 있다.
2007년 4월 3일 현재 Microsoft사에서는 취약점에 대한 패치가 제공되고 있지 않으며, 4월 4일에 패치 예정으로 알려졌다.
본 보안 권고는 ANI파일에 대한 취약점 분석을 하였다.

심각도 및 취약점 확인 :

취약점 영향

취약점 위험도

원격 코드 실행

긴급


취약점 세부 분석 :

이 취약점은 ani 파일의 잘못된 헤더 값으로 인해서 ani 파일이 로딩되면서 스택 오버플로우가 발생하여 원격 코드 실행이 가능 한 취약점이다. 이 취약점을 이용하여 악성프로그램을 설치할 수 있다.

다음 그림은 ANIHeader 의 구조체를 나타내는데 AniHeader의 사이즈는 36byte로 제한되어 있다.


다음 그림은 원격 코드 실행이 가능한 공격 코드이다.
AniHeader의 사이즈를 36byte 가 아닌 비정상적으로 52byte로 설정되어 52바이트 만큼의 데이터가 복사되어 EIP가 덮어 씌워져 스택 오버플로우가 발생된다.
 




ANI 공격 파일은 다음과 같이 구성되어 있다. 다음은 Ani Header 부분입니다.


다음 그림은 Ani tag data 부분입니다.



다음은 Shell Code 부분입니다.
 

[그림 5] Shellcode 부분

다음 그림은 AniHeader 처리 하는 콜문을 확인한 결과이다. AniHeader를 읽어 데이터를 힙역영에 복사를 한다. 데이터를 처리하는 과정에서 AniHeader의 사이즈를 체크후 리턴된다. 리턴된다.
 

 


다음 그림은 리턴 되고 쉘코드가 실행되는 화면이다.
 


다음은 쉘코드가 실행되는 부분입니다.

2. 공격 분석
취약점을 이용한 악성 코드의 공격 방식에 대해서 분석하는 단계입니다.

본 취약점에 대한 공격 코드가 공개된 상태이며 사이트들이 해킹 당했을 경우 홈페이지에 공격 코드가 삽입되면 다 수의 사용자들의 컴퓨터가 악성 프로그램에 감염된다.

다음은 암호화된 공격코드 일부입니다.

 



다음은 복호화된 공격코드 일부입니다. 



공격 코드가 삽입된 페이지를 열람할 시에 악성 프로그램에 감염되게 된다.



3. 위험 분석
상기 취약점을 이용한 실제 동작하는 공격 코드가 이미 공개된 상태이므로 공격을 당했을 시 시스템에 대한 사용자 권한을 얻게 되어 치명적인 위험에 놓일 수 있다.
 


대응방안
아래 사이트를 참고하여 업데이트를 권고드립니다.
Microsoft Security Advisory: Vulnerability in Windows Animated Cursor Handling (935423)
http://www.microsoft.com/technet/security/advisory/935423.mspx

Microsoft Security Bulletin MS07-017: Vulnerability In GDI Could Allow Remote Code Execution (925902)
http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx

(현재 에이쓰리시큐리티컨설팅에게서 서비스를 받으시는 고객에만 한정적으로 자료 제공)

 

Copyright(c) 1998-2007 A3 Security Consulting.,LTD


Disclaimer
※ 현재 ㈜에이쓰리시큐리티컨설팅에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티컨설팅에서는 일체의 책임을 지지 아니합니다.

저작자표시 비영리 변경금지

Local Inclusion (LFI using PHP injected JPG)취약점 보안 권고안

취약점 분석/2009년 이전 2008. 9. 15. 19:44 Posted by TEAMCR@K
작성자 : coyBum (coyBum@a3security.com)
▷ 편집자 : 니키 (ngnicky@a3sc.co.kr)

[A3AID07-02]

Local Inclusion (LFI using PHP injected JPG)취약점 보안 권고안

 


권고문 작성일 : 2007. 3. 28

최초 발표일 : 2007. 1. 29

위험등급:

현재 상태(패치 여부) : 미패치

벤더: PHP


대상 시스템 : PHP all

 
취약점 개요:

2007년 1월 29일, PHP 환경에서 Local inclusion취약점이 발견되었다.
이 취약점은 PHP에서 local include 파일 내에 php코드를 삽입하여 공격자의 원하는 코드를 실행시킬 수 있고 시스템의 정보를 얻거나 시스템이 침해를 당할 수 있다. 업로드 확장자를 필터링하는 환경에서 실제 jpg나 gif파일에 php코드를 삽입하여 그림파일이 업로드 가능한 환경에서도 성공적으로 공격을 실행할 수가 있다
본 보안 권고안은 Fedora 기반의 linux와 PHP 4.2.2에서 테스트 및 분석된 결과이다.


심각도 및 취약점 확인 :

취약점 영향

Local Inclusion 취약점 위험도

시스템정보 획득 및 침해




취약점 세부 분석 :

PHP 에서 include()문은 특정 파일을 include하고 적용 시키는 기능을 한다. 이 local include 취약점을 이용하여 서버가 침해를 당할 수 있다. 일반적으로 jpg, gif등 그림파일만 업로드가 가능하고 php나 html등 다른 확장자를 필터링하는 게시판에서 jpg, gif등 업로드가 가능한 그림파일내에 php코드를 삽입하여 local include 취약점을 이용하여 공격할 수 있다.

http://example.com/?page=faq.txt 와 같이 local file inclusion이 되는 사이트에서 php코드를 삽입하여 업로드한 gif, jpg을 inclusion하면 공격자가 삽입할 수 있는 어떠한 코드도 실행 가능하다. 
 




2. 공격 분석
현재 해당 취약점을 이용하여 공격 가능한 그림파일 edit바이너리가 공개된 상태이고 이번 테스트는 jpg edit할 수 있는 테스트 코드를 작성하여 직접 공격분석을 시도해 보았다.

다음 그림은 jpg 파일내에 php코드를 삽입할 수 있는 코드이다.

 



jpg파일에 php코드를 삽입할 수 있는 코드를 이용하여 jpg그림파일 내에 php 코드를 삽입하게 된다. 



JFIF파일의 Frame header와 Scan header앞에 comment를 넣게 된다. 코드 삽입을 하게 되면 다음과 같은 위치에 삽입이 되고 그림파일자체는 깨지지 않고 원상태를 유지하여 절대경로를 이용하거나 삽입된 게시판에서 보게 되면 업로드 한 그림을 볼 수 있다. 
 



다음은 정상적으로 업로드 된 사진 파일을 확인하는 화면이다.


업로드 한 jpg파일을 local file inclusion이 되는 사이트에서 실제 실행해서 dir 을 확인해 보면 dir이 실행되는 것을 확인할 수 있다. (공격자가 다른 코드도 삽입을 하여 실행하면 원하는 코드를 실행할 수 있다. )

다음 그림은 일반 사용자 권한으로 web shell코드를 이용하여 dir을 실행한 것이다.





대응 방안

 1. 보안 대책
소스레벨에서 include()나 require() 계열 함수를 사용할 때 변수가 반드시 초기화 되어
사용되고, 사용자가 변경할 수 없는지 재차 확인하는 것이 필요하다.

2. 관련 사이트
본 취약점에 대한 추가적인 정보를 확인할 수 있는 관련 사이트는 다음과 같다.
 http://www.w3.org/Graphics/JPEG/itu-t81.pdf
 http://home.cfl.rr.com/maderik/edjpgcom/

Copyright(c) 1998-2007 A3 Security Consulting.,LTD



※ 현재 ㈜에이쓰리시큐리티컨설팅에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티컨설팅에서는 일체의 책임을 지지 아니합니다.

저작자표시 비영리 변경금지

PDF Reader Information Disclosure 취약점 분석

취약점 분석/2009년 이전 2008. 9. 15. 19:43 Posted by TEAMCR@K
작성자 : 조정원 컨설턴트

A3AID07-01

PDF Reader Information Disclosure 취약점 분석



권고문 작성일 : 2007. 3. 10

취약점 발표일 : 2007. 3.

위험등급: 중

현재 상태(패치 여부) : 미패치

벤더: Adobe


대상 시스템 : Adobe Acrobat Reader 8.0 이하 모든 버전

 


취약점 개요:

Adobe Acrobat Reader는 PDF 파일 포멧 형식을 지원해주고, 컴퓨터 사용자 대부분이 사용하고 있는 대표적인 PDF Reader 프로그램이다.
http://www.securityfocus.com에 2007년 3월 1일자로 Adobe Acrobat/Adobe Reader Information Disclosure 취약점이 발표되었다.
이 취약점은 PDF 의 Plug-In의 기능 중 하나인 Javaxxscripts를 사용할 수 있게 되면서, URI() 함수 안의 코드가 사용자 승인 없이 실행이 되었고, 공격자가 원하는 사이트 Redirection, 사용자의 탐색기(explorer.exe) 실행, 취약한 사용자 컴퓨터인 경우에는 Command(cmd.exe) 창까지 실행시킬 수 있다.

 

취약점 세부 분석 :

(현재 에이쓰리시큐리티컨설팅에게서 서비스를 받으시는 고객에만 한정적으로 자료 제공)



대응 방안:

 - 해당 취약점에 대한 공식적인 패치는 아직 없다.
 - 분석한 결과, Acrobat Reader 8.0 에서는 해당 취약점이 실행되지 않았다. Acrobat Reader 의 최신 버젼의 설치가 이루어져야 하고, 의심되는 PDF 파일 열람을 제한해야 한다.
 


관련 사이트 : 본 취약점에 대한 추가적인 정보를 확인할 수 있는 관련 사이트는 다음과 같다.

      http://www.securityfocus.com/bid/22753

 


Copyright(c) 1998-2007 A3 Security Consulting.,LTD


Disclaimer
※ 현재 ㈜에이쓰리시큐리티컨설팅에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티컨설팅에서는 일체의 책임을 지지 아니합니다.

 

티스토리툴바